学府无线局域网解决方案指南

教育网络的组成部分为了支持下一代应用，大多数学院和大学将需要升级他们的LAN。在最基本的层次上，他们需要从共享式集中器技术升级到一种交换式基础设施。很多校园还需要使用速度更快、更加智能化的技术，例如快速以太网或者千兆以太网。另外，学院和大学可能需要将无线技术集成到他们的环境中，以提高用户的移动性和LAN的可访问性。下面介绍了学院和大学目前创建一个强大的、高性能的LAN所需要采取的步骤。通过完成这项功能的部署，教育机构的教育任务将可以迅速地发展到新的水平。产生收入的机会--大学可以通过让学生购买可选的、速度更快的服务或者添加面向本地企业的链路从校园网络服务中获得收入。网络设计实例大学网络即使已经采用了一套简单的基础设施，大学也可以用一个层次化的交换架构来智能化地管理用户、服务器和与外部世界的连接。如图3所示，高性能的、高可用性的第三层交换机可以管理网络的核心功能，确保一个性能最优的骨干网络。单独的或者堆叠的桌面交换机可能与第三层交换机以星形方式连接在一起，从而为处于固定位置的传统用户基站提供接入解决方案。对于需要灵活的连接方式的教室和其他位置（例如图书馆、宿舍、实验室和办公室）来说，可以只安装一条与无线接入点的连接线，以代替连接固定基站的多条电缆。这样，学校可以灵活地利用分布于各个教室中的笔记本电脑，其中每台电脑都处于接入点的覆盖范围之内，他们还可以方便、快捷地改变教室的配置，而不需要改变线路的布局。图3大学科系网络设计实例高性能部署更加复杂的校区网络可以从相同的层次化交换架构和无线覆盖中获得更多的好处。如图4所示，管理级的一根T1线路可以有效地为多所学校提供互联网连接，从而使学校无需每月交纳相关的费用。可以通过传统的布线方式连接到一个新的建筑物或者地点（用于距离非常近的建筑物），也可以通过部署肉眼可见的点对点或者点对多点解决方案来以低廉的成本覆盖较长或者较短的距离（以最高11Mbps的速率覆盖15英里，或者以最高5.5Mbps的速率覆盖25英里），或者跨越河流或者高速公路等障碍物。对一个肉眼可见的LAN间连接的投资只需三到四个月内就可收回，相比之下，如果采用传统的T1连接，则每月需要支付很高的成本。一个或者多个第三层交换机可以提供一个高性能的核心层。可堆叠的第二层桌面交换机可以部署在各个网段的接入点。可以在网络中设置多个接入点，以扩大无线网络的覆盖范围，使用户可以进行漫游。具有很高的可用性、集成化的管理和安全性的网络可以支持所有新兴的下一代应用和技术。层次化的结构可以在需要灵活连接或者需要经常改变连接配置的场所简化无线网络的部署工作。整个大学的高性能网络设计示意图学生网络思科建筑物宽带解决方案可以利用以太网、LRE和无线基础设施设备在整个校园环境中为学生提供高速的宽带接入。所示，一台Cisco LRE交换机为那些采用一类、二类、三类线的较老的教室和宿舍提供了连接。Cisco LRE CPE设备位于每个教室或者每个宿舍中，用于桥接LRE和以太网连接。可以将一个无线接入点连接到Cisco LRE CPE设备，以便为教室中的膝上型电脑、笔记本电或者PDA提供连接。图书馆是一个采用了五类线的较新的建筑物，它使用10/100/1000交换机来为学生提供专用连接。图书馆还为那些喜欢移动上网的学生提供了无线接入。学校可以通过WLAN接入点为户外的学生和教师提供连接。网络通过无线或者交换连接集中到一台第三层交换机。Cisco BBSM服务器可以提供一个功能强大的服务创建平台，它可以提供多种宽带服务，以满足不同学生的需求。

工具/原料

交换机网线机房

步骤/方法

组网步骤：准备工作：在拓扑图上规划好IP地址和VLAN。配置RTA（对外路由器）根据ISP提供的IP网段配置外网接口，然后用PING命令测试外网网关是否通配置内网NAT相关ACL（访问控制列表）在外网接口中用NAT OUTBOUND 命令全能NAT配置内网接口IP地址，然后用PING –A <内网接口IP地址> <外网网关>来测试是否能正确连通在内网接口用NAT SERVER命令映射内部WWW服务器到外网IP（只映射WWW服务即80号端口）使用DNS resolve命令进行DNS解析，指向路由器的外网真实DNS使用DNS MAP 命令为内网WEB服务器做域名解析使用SAVE命令保存配置配置核心交换机（S1：根据拓扑选用3900三层交换机）根据要求划分三个VLAN，分别用作公共通道（一般应为VLAN1）、部门A和部门B通信给三个VLAN接口（即用nterface vlan 命令进入）配置相应IP地址，注意公共通道部分使用相同IP网段，部门A自己分配一个IP网段，部门B自己也分配一个IP网段，公共通道部分使用的网段包括与路由相连的内接口）配置静态路由IP RO 0.0.0.0 0 <路由器内网接口IP地址>，即配置内部网络访问外网的缺省路由。使用DNS proxy命令进行DNS中继，指向路由器的内网接口地址由于三层功能已经起作用，为防止三层出现两个VLAN区域互通需创建ACL在核心交换机中限制两个部门VLAN区域不通，由于涉及判断目的地址所以应配置高级访问控制列表。把ACL分别应用在两个上行口（即从下面二层交换机来的接口）的INBOUND方向上。继续设置两个上行口为TRUNK口，并用PORT TRUNK PERMIT VLAN 1 <部门A vlan号部门B vlan号>分别配置接入层交换机（S2和S3选用2000系列二层交换机）分别配置S2与S3的Interface vlan 1（假设公共通道使用VLAN1）的IP地址为公共通道IP网段的地址（这样做是为了实现远程管理）按拓扑要求划分VLAN，每个交换机留下一个接口为TRUNK口配置保留的TRUNK口为PORT TRUNK PERMIT VLAN 1 <部门A vlan号部门B vlan号>配置部门主机：分别设置部门的主机的IP地址到部门所在VLAN地址段，并配置网关为三层中的相应所属VLAN接口的IP地址，DNS与网关相同由本区网关开始逐步向外PING通。

注意事项

参考配置：假定ISP分给以下数据其中一个网段：DNS:172.18.0.253 220.187.24.2A:61.153.208.64-67网关：61.153.208.65B:61.153.208.68-71网关：61.153.208.69C:61.153.208.72-75网关：61.153.208.73D:61.153.208.76-79网关：61.153.208.75比如IP段：61.153.208.64－67网关：61.153.208.65DNS:220.187.24.2规划内网IP段如下：公共网段：172.16.0.0/24 其中RTA为172.16.0.1/24 S1为172.16.0.2 S2：172.16.0.3/24S3:172.16.0.4/24Web服务器IP：172.16.0.5/24 域名为：http://www.test.com部门A网段:192.168.0.0/24网关：192.168.0.1/24部门B网段：192.168.1.0/24 网关：192.168.1.1/24配置RTA：sysname Wang_Guanacl number 2000rule permit source 192.168.0.0 0.0.0.255rule permit source 192.168.1.0 0.0.0.255acl number 3000rule deny ip source 192.168.0.0 0.0.0.255 destnation 192.168.1.0 0.0.0.255rule deny ip source 192.168.1.0 0.0.0.255 destnation 192.168.0.0 0.0.0.255interface e0/0ip address 61.153.208.66 255.255.255.252nat outbound 2000nat server protocol tcp global 61.153.208.66 www inside 172.16.0.5 wwwinterface e0/1ip address 172.16.0.1 24firewall packet-filter 3000 inboundip route-static 0.0.0.0 0 61.153.208.65ip route-static 192.168.0.0 24 172.16.0.2ip route-static 192.168.1.0 24 172.16.0.2dns server 220.187.24.2dns resolvenat dns-map www.test.com 61.153.208.66 80firewall enable用PING测试对外网网关应该都能通，测试通过用SAVE进行保存。配置S1 （用1－8号口用于部门A主机相连，不够接S2中1－8号口，9－16号接部门B主机，不够接S3中9－15号口，23、24号口分别接S2和S3的16号口，17－22号口接路由器和服务器）sysname He_Xinvlan 20port e1/0/1 to e1/0/8vlan 30port e1/0/9 to e1/0/16interface vlan 1ip address 172.16.0.2 255.255.255.0interface vlan 20ip address 192.168.0.1 255.255.255.0interface vlan 30ip address 192.168.1.1 255.255.255.0interface e1/0/23port link-type trunkport trunk permit vlan 1 20 30interface e1/0/24port link-type trunkport trunk permit vlan 1 20 30acl number 3000rule deny ip source 192.168.0.0 0.0.0.255 destnation 192.168.1.0 0.0.0.255acl number 3001rule deny ip source 192.168.1.0 0.0.0.255 destnation 192.168.0.0 0.0.0.255interface e1/0/1packet-filter 3000 inboundinterface e1/0/2packet-filter 3000 inboundinterface e1/0/3packet-filter 3000 inboundinterface e1/0/4packet-filter 3000 inboundinterface e1/0/5packet-filter 3000 inboundinterface e1/0/6packet-filter 3000 inboundinterface e1/0/7packet-filter 3000 inboundinterface e1/0/8packet-filter 3001 inboundinterface e1/0/9packet-filter 3001 inboundinterface e1/0/10packet-filter 3001 inboundinterface e1/0/11packet-filter 3001 inboundinterface e1/0/12packet-filter 3001 inboundinterface e1/0/13packet-filter 3001 inboundinterface e1/0/14packet-filter 3001 inboundinterface e1/0/15packet-filter 3001 inboundinterface e1/0/16ip route-static 0.0.0.0 0 172.16.0.1配置S2、S3（两台除管理用IP地址不一样其余配置相同）sysname S2vlan 20port e0/1 to e0/8vlan 30port e0/9 to e0/15interface vlan 1ip address 172.16.0.3 255.255.255.0interface e0/16port link-type trunkport trunk permit vlan 1 20 30***************************************************sysname S3vlan 20port e0/1 to e0/8vlan 30port e0/9 to e0/15interface vlan 1ip address 172.16.0.4 255.255.255.0interface e0/16port link-type trunkport trunk permit vlan 1 20 30

上一篇：干豆腐怎么做最简单，炒干豆腐的做法

下一篇：家常菜干豆腐怎么炒

欧尼酱

学府无线局域网解决方案指南